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Beschreibung 

Vorrichtung und Verfahren zum Ausfiihren von Operationen mit 
einer einstellbaren Geschwindigkeit 

Die vorliegende Erfindung bezieht sich auf Vorrichtungen und 
Verfahren zum Ausfuhren von Operationen mit einer einstellba- 
ren Geschwindigkeit und insbesondere auf Vorrichtungen und 
Verfahren zum Ausfuhren von kryptographischen Operationen mit 
einer einstellbaren Geschwindigkeit. 

In vielen Anwendungen finden kryptographische Berechnungen 
mit besonders schutzenswerten Geheimnissen, wie beispielswei- 
se Schlusseln oder proprietaren Algorithmen, statt. Einige 
Beispiele hierfur sind der Zahlungsverkehr per „electronic 
cash", die Obermittlung von Daten uber das Internet, die Mo- 
biltelephonie, etc. Zur Vermeidung von wirtschaf tlichen Scha- 
den durch einen Mifibrauch geheimer Daten durch unbefugte 
Dritte und zum Schutz der Privatsphare von Verbrauchern wer- 
den dabei Daten aller Art mittels einer Vielzahl kryptogra- 
phischer Verfahren beim Absender verschlusselt und beim Emp- 
f anger der Daten entschlusselt . Dritte benotigen den in der 
Regel zunachst nur dem Absender und dem Empfanger bekannten 
Schlussel, um die Daten entschlusseln und die enthaltenen In- 
formationen nutzen zu konnen. Es existieren zahlreiche Ver- 
fahren und Algorithmen, um diese Schlussel zu gewinnen, die 
durch einschlagige Kreise standig weiterentwickelt werden. 
Zur Abwehr solcher „Angriffe" werden auch die Verschlusse- 
lungsverf ahren standig weiter entwickelt, insbesondere z. B. 
dahingehend, dali das theoretisch mogliche Gewinnen des 
Schltissels eine so grolie Anzahl kryptographischer Berechnun- 
gen bzw. Operationen benotigt, dali diese mit der verfUgbaren 
Rechenleistung nur innerhalb sehr langer Zeitdauern moglich 
ist. Ein Nachteil besteht darin, dali auch die kryptographi- 
schen Berechnungen zur Verschlusselung bzw. legalen Ent- 
schlUsselung einen immer grdfieren Rechenauf wand erfordern. 
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Alternativ dazu kann unter anderem die Anzahl der „Versuche" 
beschrankt werden, wie z. B. bei der Eingabe der PIN einer 
EC-Karte Oder eines Mobiltelephons . Dies ist allerdings nur 
in Fallen wie den genannten sinnvoll, in denen bis zu einem 
5 Verlust ausschliefilich der legale Benutzer die PIN eingeben 
kann und somit eine Schadigung des legalen Benutzers durch 
eine Sperrung aufgrund von PIN-Eingabe-Versuchen Dritter aus- 
geschlossen ist. 

10 Die Aufgabe der vorliegenden Erfindung besteht darin, eine 
Vorrichtung und ein Verfahren zu schaffen, um kryptographi- 
^ sche Berechnungen in einen Prozessor vor einer Entschliisse- 
lung zu sichern. 

15 Diese Aufgabe wird durch eine Vorrichtung gemafi Anspruch 1 
oder ein Verfahren gemafi Anspruch 14 gelost. 

Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, dafi 
in der Praxis bei der uberwiegenden Mehrheit der Anwendungen 
20 von kryptographischen Berechnungen diese Berechnungen nur rait 
langem zeit lichen Abstand aufgerufen werden. So wird bei Zah- 
lungsfunktionen die Authentif ikation bzw. die Signatur der 
Transaktion nur pro Aktion einmal aufgerufen. Zwischen zwei 
Zahlungen vergehen dabei relativ lange Zeitabschnitte, sogar 
J I bei Anwendungen wie beispielsweise Buchungen von Telephonein- 
heiten. Um Angriffe, die eine Vielzahl von kryptographischen 
Berechnung bzw. geheimen Operationen benotigen, bzw. ihre 
Durchfuhrung in kurzer Zeit zu unterbinden, wird die Ge- 
schwindigkeit einer Abarbeitung dieser Berechnungen bzw. Ope- 
30 rationen gesteuert. Je mehr Berechnungen bzw. Operationen 
stattfinden, desto langsamer finden diese statt. 

Beispielsweise ladt jede kryptographische Berechnung einen 
Energiespeicher, welcher die Geschwindigkei t der Abarbeitung 
35 bestimmt. Das Verhaltnis kann hierbei umgekehrt proportional 
oder, wenn moglich, sogar umgekehrt exponentiell sein. Die 
Erfindung bietet somit Schutz vor Angriffen, wie beispiels- 
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weise Power-Analysis (unter anderem DPA) , bei der viele Be- 
rechnungen durchgefiihrt werden mlissen, oder Brute-Force, bei 
der der Schlussel durch systematisches Probieren aller Mog- 
lichkeiten bis zum Erfolg ermittelt wird. Die genannten An- 
griffe benotigen durch die Erfindung erheblich mehr Zeit und 
konnen im Idealfall aufgrund des erhohten Zeitauf wandes sogar 
undurchf uhrbar werden. 

Die vorliegende Erfindung schafft einen Prozessor mit einem 
Rechenwerk zum Ausfuhren einer Operation mit einer Geschwin- 
digkeit und eine Zustandseinrichtung, die einen Zustand auf- 
weist, der sich ansprechend auf das Ausfuhren einer Operation 
durch das Rechenwerk andert, wobei die Geschwindigkeit des 
Rechenwerks abhangig von dem Zustand der Zustandseinrichtung 
steuerbar ist. In kryptographischen Anwendungen verhindert 
der erf indungsgemafie Prozessor wirksam Angriffe, die eine 
Vielzahl von kryptographischen Berechnungen bzw. Operationen 
benotigen, indent er den Zeitauf wand fur ihre Ausfuhrung we- 
sentlich oder sogar bis zur Undurchf uhrbarkeit verlangert, 
fuhrt aber legale Operationen, die relativ seltener stattfin- 
den, praktisch ohne Geschwindigkeitsver lust durch, indem er 
sie in geringer Anzahl ungebremst bzw. fast ungebremst aus- 
ftihrt. Ein hoher Anwenderkomf ort bleibt dabei weitgehend er- 
halten . 

Ein anderes Ausf uhrungsbeispiel des erf indungsgemaften Prozes- 
sors ermoglicht eine Anpassung der Rechenleistung des Prozes- 
sors an gegebene Anf orderungen, indem die Geschwindigkeit der 
Ausfuhrung von Operationen erhoht wird, wenn Operationen aus- 
gefuhrt werden, so dafi umgekehrt die Geschwindigkeit verrin- 
gert wird, wenn keine Operation ausgefuhrt wird, und somit 
beispielsweise eine Energieersparnis realisierbar ist. 

Die Zustandseinrichtung des er f indungsgemafien Prozessors kann 
einen kontinuierlichen bzw. analogen bzw. stufenlosen Zustand 
aufweisen. Der Zustand der Zustandseinrichtung kann sich an- 
sprechend auf das Ausfiihren einer Operation so andern, dafi 
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sich die Geschwindigkeit des Rechenwerkes verringert. Der 
Zustand der Zustandseinrichtung kann ferner eine Funktion der 
Zeit sein. Vorzugsweise kann der Zustand der Zustandseinrich- 
tung, wenn keine Operation ausgeflihrt wird, in eine Richtung 
5 anderbar sein, welche der Richtung der Anderung in Ansprache 
auf das Ausfuhren einer Operation entgegengesetzt ist. Der 
Zustand der Zustandseinrichtung kann durch eine Variable dar- 
gestellt sein, die bei jeder Ausfuhrung einer Operation urn 
einen festgelegten Wert erhoht wird, wobei die Geschwindig- 
10 keit des Rechenwerkes umgekehrt proportional oder umgekehrt 
exponentiell zu dieser Variable sein kann. 

^ Gemaft einem bevorzugten Aus f uhrungsbeispiel ist die Zustand- 
seinrichtung des erf indungsgemaften Prozessors ein Kondensa- 
15 tor, und ist der Zustand ein Ladezustand des Kondensators . 

Gemaft einem weiteren bevorzugten Ausf uhrungsbeispiel des er- 
f indungsgemaften Prozessors ist die Zustandseinrichtung eine 
Einrichtung mit einer Warmekapazitat , und ist der Zustand ei- 
20 ne Temperatur der Einrichtung. Die Verwendung einer analogen 
Zustandseinrichtung verringert die Moglichkeit einer Manipu- 
lation durch unbefugte Dritte weiter. Die Zustandseinrichtung 
kann, insbesondere in ihrer Ausfuhrung als Kondensator oder 
Einrichtung mit Warmekapazitat, mit dem Prozessor einstuckig 
ausgeflihrt sein, wodurch eine Manipulation weiter erschwert 
wird. 



Bevorzugte Ausf tihrungsbeispiele der vorliegenden Erfindung 
werden nachfolgend Bezug nehmend auf die beiliegenden Zeich- 
30 nungen naher erlautert . Es zeigen: 

Fig. 1 eine schematische Darstellung eines Prozessors ge- 
maft der vorliegenden Erfindung; 



35 



Fig. 2 



eine schematische Darstellung eines Prozessors ge- 
maft einem ersten Ausf uhrungsbeispiel der vorliegen- 
den Erfindung; 
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Fig. 3 eine schematische Darstellung eines Prozessors ge- 
mali einem zweiten Ausf lihrungsbeispiel der vorlie- 
genden Erfindung; und 

Fig. 4 eine schematische Darstellung eines Prozessors ge- 
mafi einem dritten Ausf lihrungsbeispiel der vorlie- 
genden Erfindung. 

Fig. 1 zeigt eine schematische Darstellung eines Prozessors 
10 mit einem Rechenwerk 12 und einer Zustandseinrichtung 14. 
Das Rechenwerk 12 fuhrt ansprechend auf eine Eingabe 16 eine 
Operation aus und erzeugt eine Ausgabe 18. Das Rechenwerk 12 
ist liber eine Verbindungseinrichtung 20 mit der Zustandsein- 
richtung 14 wirksam verbunden, so daii ansprechend auf das 
Ausfuhren einer Operation im Rechenwerk 12 ein Zustand der 
Zustandseinrichtung 14 geandert wird. Ferner ist das Rechen- 
werk 12 liber eine Verbindungseinrichtung 22 mit der Zustand- 
seinrichtung 14 derart wirksam verbunden, daB eine Geschwin- 
digkeit des Ausflihrens einer Operation im Rechenwerk 12 von 
dem Zustand der Zustandseinrichtung 14 abhangig ist. 

Der Prozessor kann ein beliebiger Prozessor sein, der abgese- 
hen von den hier beschriebenen Eigenschaf ten und Merkmalen 
einen beliebigen Aufbau, wie er in der Technik bekannt ist, 
und beliebige Leistungsmerkmale aufweist. Es kann sich bei- 
spielsweise um einen Krypto-Coprozessor, um einen Prozessor, 
wie er bei ^electronic cash^-Zahlungsver f ahren oder in der 
Mobiltelephonie eingesetzt wird, etc. handeln. Die Erfindung 
ist insbesondere auch darauf gerichtet, im Falle eines Pro- 
zessors, der unbefugten Dritten mechanisch verfugbar, d. h. 
einer mechanischen und/oder elektrischen Manipulation ausge- 
setzt sein kann, einen besseren Schutz vor einer erfolgrei- 
chen Manipulation zu bieten. 

Die Zustandseinrichtung 14 kann eine beliebige Zustandsein- 
richtung mit einem anderbaren Zustand sein. Vorzugsweise ist 
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die Zustandseinrichtung 14 eine analoge Zustandseinrichtung 
mit einem beliebigen analogen bzw. kontinuierlichen bzw. stu- 
fenlosen Zustand. Insbesondere kann es sich bei der Zustand- 
seinrichtung 14 urn einen Energiespeicher handeln, wobei die 
gespeicherte Energiemenge den Zustand darstellt. Ausgehend 
von einem Ursprungszustand wird bei jeder Berechnung bzw. bei 
jedem Ausfuhren einer Operation durch das Rechenwerk 12 mit- 
tels einer geeigneten Vorrichtung eine Energiemenge in der 
Zustandseinrichtung gespeichert. Das bedeutet, daii nach meh- 
reren Nutzungen der angeschlossenen Schaltung bzw. Ausfuhrun- 
gen von Operationen in dem mit der Zustandseinrichtung 14 
wirksam verbundenen Rechenwerk eine erhohte Energie im Spei- 
cher vorliegt. Durch physikalische Effekte kann diese Energie 
in der Regel nicht beliebig lange gespeichert werden, es 
15 kommt somit zu einem langsamen, kontinuierlichen Rucksetzvor- 
gang des Speichers zu dem Ruhezustand. Entscheidend ist nun 
die Kopplung der Arbeitsgeschwindigkeit des mit der Zustand- 
seinrichtung 14 wirksam verbundenen Rechenwerkes 12 mit dem 
Energiespeicher. Je mehr an Energie akkumuliert wurde, desto 
20 geringer wird die Geschwindigkeit des Rechenwerkes 12 einge- 
stellt bzw. desto langsamer findet die Berechnung statt. Op- 
timal sind hierbei besonders exponentielle Funktionen, da 
diese es ermoglichen, wenige Berechnungen relativ schnell 
durchzufuhren, wonach die Abarbeitung massiv gebremst wird 
'^5 und theoretisch sogar unendlich lange dauern wurde . Durch ei- 
nen unabhangigen Energiespeicher wird es verhindert, daii 
durch auBere Einfltisse, wie z. B. durch ein Abschalten einer 
Versorgungsspannung, der Effekt z. B. durch einen unbefugten 
Angreifer auBer Betrieb genommen wird. 

30 

Beispiele fur eine analoge Zustandseinrichtung 14 sind ein 
Kondensator und eine Einrichtung mit einer Warmekapazitat , 
die in den Ausf uhrungsbeispielen unten detaillierter be- 
schrieben werden. Beispiele fur die Wirkung der Ausfuhrung 
35 einer Operation im Rechenwerk 12 auf den Zustand der Zustand- 
seinrichtung 14 und far eine Steuerung der Geschwindigkeit 
des Rechenwerkes 12 durch den Zustand der Zustandseinrichtung 



200021470 

7 



14 werden ebenfalls in den Ausfuhrungsbeispielen unten de- 
taillierter beschrieben. 

Das Rechenwerk 12 und die Zustandseinrichtung 14 konnen ge- 
trennt angeordnete Bauelemente sein, sind aber vorzugsweise 
gemeinsam innerhalb eines Prozessorgehauses angeordnet oder 
sogar einstiickig ausgefuhrt. Eine einstiickige Ausfuhrung ver- 
ringert ferner den Aufwand und die Kosten der Herstellung so- 
wie die Grofte des erf indungsgemaften Prozessors und verbessert 
seine Eigenschaf ten, insbesondere seine Robustheit gegeniiber 
aufteren Einfltissen. Vorallem erschwert eine einstiickige Aus- 
fuhrung des Rechenwerks 12 und der Zustandseinrichtung 14 ei- 
ne Manipulation durch unbefugte Dritte. 

Fig. 2 zeigt eine schematische Darstellung eines ersten Aus- 
fuhrungsbeispieles der vorliegenden Erfindung. Dieses Ausfuh- 
rungsbeispiel entspricht dem Ansatz, elektrische Energie in 
einem Kondensator zu speichern. Die Zustandseinrichtung um- 
faftt einen Kondensator bzw. eine Einrichtung 30 mit einer- 
elektrischen Kapazitat und eine Takterzeugungseinrichtung 32, 
die untereinander und mit dem Rechenwerk 12 wirksam verbunden 
sind. In einem Ursprungszustand tragt die Einrichtung 30 mit 
einer elektrischen Kapazitat keine Ladung. Bei einer Ausfuh- 
rung einer Operation durch das Rechenwerk 12 wird kontrol- 
liert durch einen Schaltvorgang eines FET die elektrische Ka- 
pazitat 30 aufgeladen. Durch den Einsatz dieses Kondensators 
als f requenzbestimmendes Element eines Oszillators oder einer 
PLL-Teilung, welcher als Taktgeber fur den Schaltungsteil d. 
h. den Kryptoprozessor oder Kryptocoprozessor dient, kann die 
30 Kopplung mit der Arbeitsgeschwindigkeit einfach erfolgen. 

Der Pfeil 34 stellt das durch ein Ausfuhren einer Operation 
im Rechenwerk 12 ausgeloste Laden der elektrischen Kapazitat 
30 dar. Bei jedem Ausfuhren einer Operation durch das Rechen- 
35 werk 12 wird die Ladung der elektrischen Kapazitat 30 urn ei- 
nen vorbestimmten Wert erhoht. Die in der elektrischen Kapa- 
zitat 30 enthaltene Ladung ist somit ein direktes Mafl fur die 
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Anzahl der durch das Rechenwerk 12 ausgefuhrten Operationen. 
Abhangig von der Grofte dieser Ladung wird eine Frequenz einer 
Takterzeugung durch die Takterzeugungseinrichtung 32 fur das 
Rechenwerk 12 so gesteuert (Pfeil 36), dafi die Frequenz der 
5 Takterzeugung urn so niedriger ist, je grofler die Ladung der 
elektrischen Kapazitat 30 ist. Da der von der Takterzeugungs- 
einrichtung 32 erzeugte Takt bzw. seine Frequenz die Ge- 
schwindigkeit der Ausfuhrung einer Operation durch das Re- 
chenwerk 12 unmittelbar beeinfluUt (Pfeil 38), wird so er- 
10 reicht, dafi die Geschwindigkeit einer Ausfuhrung einer Opera- 
tion durch das Rechenwerk 12 umso starker verringert wird, je 
mehr Operationen durch das Rechenwerk 12 ausgefuhrt wurden 

Eine Entladung der elektrischen Kapazitat 30 durch Leckstrome 
15 oder einen parallel geschalteten Widerstand versetzt die Zu- 
standseinrichtung nach einer definierten Zeit zuriick in den 
Ursprungszustand. Eine Verringerung der Geschwindigkeit des 
Rechenwerkes 12 aufgrund eines Ausfuhrens von einer oder meh- 
reren Operationen durch das Rechenwerk 12 wirkt somit nur 
20 wahrend einer Zeit, die im wesentlichen durch die Anzahl der 
ausgefuhrten Operationen, die Grofie der elektrischen Kapazi- 
tat 30 und die Grofie eines Leckstrome, d. h. eines zu der Ka- 
pazitat parallelen, z. B. parasitaren Widerstandes bestimmt 
ist. Nach dem Ausfiihren von Operationen durch das Rechenwerk 
^5 12 und dem dadurch hervorgeruf enen Verringern der Geschwin- 
digkeit steigt deshalb die Geschwindigkeit des Rechenwerkes 
12 allmahlich wieder auf ihren Ursprungswert . 

Wenn erneut eine Anzahl von Operationen ausgefuhrt wird, 
30 sinkt die Geschwindigkeit wieder ab, urn das Ausfiihren einer 
grofieren Anzahl von Operationen wirkungsvoll zu verzbgern. 

Eine bevorzugte Anwendung des vorliegenden Aus f uhrungsbei- 
spieles ist das Ausfiihren kryptographischer Berechnungen zum 
35 VerschlUsseln bzw. EntschlUsseln geheimer Daten, urn diese vor 
dem Zugriff unbefugter Dritter zu schutzen. In der Praxis 
werden bei einer Mehrheit von kryptographischen Anwendungen 
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die kryptographischen Operationen nur mit langem zeitlichen 
Abstand aufgerufen. Zum Beispiel wird bei Zahlungsf unktionen 
die Authentif ikation bzw. die Signatur der Transaktion nur 
pro Aktion einmal aufgerufen. Zwischen zwei Zahlungen verge- 
hen dabei relativ lange Zeitabschnitte, sogar bei Anwendungen 
wie beispielsweise Buchungen von Telephoneinheiten . Diese 
einzelnen, zeitlich beabstandeten Ausfuhrungen von Operatio- 
nen erfolgen bei dem Prozessor gemafi dem ersten Ausfiihrungs- 
beispiel mit hoher Geschwindigkei t , d. h. geringem Zeitauf- 
wand und fur einen Anwender komf ortabel . Hingegen wird im 
Falle eines Angriffes, der eine Vielzahl von kryptographi- 
schen Operationen benotigt, die Geschwindigkeit des Ausfiih- 
rens durch das Rechenwerk 12 verringert, so daft diese Opera- 
tionen nicht mehr in kurzer Zeit durchgefuhrt werden konnen 
und im Idealfall deshalb sogar undurchf uhrbar werden. Die 
vorliegende Erfindung vereint somit eine hohe Leistung bei 
legalen Anwendungen mit einem guten Schutz vor Manipulation 
und Angriffen. 

Bei einem alternativen Ausf uhrungsbeispiel wird Energie in 
Form von thermischer Energie gespeichert. Fig. 3 zeigt eine 
schematische Darstellung eines Prozessors gemaft diesem zwei- 
ten Ausf uhrungsbeispiel der vorliegenden Erfindung. Die Zu- 
standseinrichtung umfafit eine thermische Kapazitat 50 mit ei- 
nem Temperatursensor und eine Takterzeugungseinrichtung 32, 
die untereinander und mit dem Rechenwerk 12 wirksam verbunden 
sind. Das zweite Ausf uhrungsbeispiel unterscheidet sich somit 
vom ersten Ausf uhrungsbeispiel darin, dafi die elektrische Ka- 
pazitat 30 durch eine thermische Kapazitat 50 ersetzt ist. 
Ansprechend auf ein Ausfuhren einer Operation in dem Rechen- 
werk 12 wird der thermischen Kapazitat 50 Energie zugefiihrt 
(Pfeil 54) und somit ihre Temperatur erhoht. Dies kann mit- 
tels eines elektrischen Heizwiderstandes erfolgen, vorzugs- 
weise aber durch die Abwarme des Rechenwerkes 12 uber eine 
warmeleitf ahige Verbindung. Die thermische Kapazitat 50 urn- 
faftt einen Temperatursensor, dessen Ausgangssignal an die 
Takterzeugungseinrichtung 32 geleitet wird (Pfeil 56) . Das 
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Signal des Temperatursensors steuert in der Takterzeugungs- 
vorrichtung 32 die Frequenz des erzeugten Arbeitstaktes fur 
das Rechenwerk 12. Durch den in der Takterzeugungseinrichtung 
32 erzeugten Arbeitstakt wird das Rechenwerk 12 gesteuert 
(Pfeil 58) . 

Ansprechend auf das Ausfiihren einer Operation durch das Re- 
chenwerk 12 wird die thermische Kapazitat 50 erwarmt, und ih- 
re Temperatur erhoht sich. Die Erhohung der Temperatur der 
thermischen Kapazitat 50 hat eine Anderung des Ausgangssigna- 
les des Temperatursensors zur Folge. Die Takterzeugungsein- 
richtung 32 ist so aufgebaut, daJJ diese Anderung des Aus- 
gangssignales des Temperatursensors eine Verringerung der 
Frequenz des von der Takterzeugungseinrichtung 32 erzeugten 
Arbeitstaktes fur das Rechenwerk 12 bewirkt. Somit hat eine 
Ausfuhrung einer Operation durch das Rechenwerk 12 eine Ver- 
ringerung der Geschwindigkeit des Rechenwerkes 12 zur Folge, 
Durch einen Warmeubertrag von der thermischen Kapazitat 50 
auf ihre Umgebung geht die Temperatur der thermischen Kapazi- 
tat 50 nach dem Ausfiihren einer Operation durch das Rechen- 
werk 12 allmahlich wieder zuriick. Dies bewirkt eine weitere 
Anderung des Ausgangssignales des Temperatursensors. Diese 
Anderung hat in der Takterzeugungseinrichtung 32 eine Erho- 
hung der Frequenz des Arbeitstaktes fur das Rechenwerk 12 zur 
Folge. Die Frequenz des Arbeitstaktes bestimmt direkt und un- 
mittelbar die Geschwindigkeit des Rechenwerkes 12. Somit 
steigt die Geschwindigkeit des Rechenwerkes 12 nach dem Aus- 
fiihren einer Operation und der dadurch verursachten Verringe- 
rung der Geschwindigkeit allmahlich wieder an. 

Die thermische Kapazitat 50 kann mit dem Rechenwerk 12 iden- 
tisch sein. Bei jedem Ausfiihren einer Operation wird z. B. 
durch Verlustwarme oder mittels eines elektrischen Heizwider- 
standes das Rechenwerk 12 erwarmt. Ein Temperatursensor kann 
5 beispielsweise auf Silizium sehr einfach und preiswert reali- 
siert werden. Er mifit die Temperatur des Rechenwerkes und er- 
zeugt ein diese Temperatur darstellendes Ausgangssignal, das 
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wie beschrieben zur Steuerung der Takterzeugungseinrichtung 
dient. Je grolier die Temperatur des Temperatursensors ist, 
desto langsamer wird der Arbeitstakt geschaltet. 1st auch die 
Takterzeugungseinrichtung 32 mit dem Rechenwerk 12 einstuckig 
5 ausgefiihrt, dann ist der Prozessor mit alien er f indungsgema- 
fien Merkmalen einstuckig und eine Manipulation wird weitge- 
hend erschwert. Die Verwendung von aktiver Siliziumf lache als 
Warmespeicher bietet darliber hinaus einen automatischen 
Schutz gegen das Verringern der Warmekapazitat durch Mate- 
10 rialabtragungen durch einen Angreifer. 

Fig. 4 zeigt eine schematische Darstellung eines dritten Aus- 




f uhrungsbeispieles der vorliegenden Erfindung. Das dritte 



Ausfiihrungsbeispiel unterscheidet sich vom zweiten Ausfiih- 
15 rungsbeispiel dadurch, dafi es aulier einem Rechenwerk 12 , ei- 
ner thermischen Kapazitat 54 mit einem ersten Temperatursen- 
sor und einer Takterzeugungseinrichtung 32 einen zweiten Tem- 
peratursensor 70 und einen Komparator 72 aufweist. Die Aus- 
gangssignale des ersten Temperatursensors und des zweiten 
20 Temperatursensors 70 werden zum Komparator 72 geleitet (Pfei- 
le 74, 76). Der Komparator 72 erzeugt ansprechend auf die 
Ausgangssignale der beiden Temperatursensoren ein Differenz- 
signal, das die Differenz der Ausgangssignale darstellt und 
zur Takterzeugungseinrichtung 32 geleitet wird (Pfeil 78) . In 
^^5 der Takterzeugungseinrichtung 32 wird ansprechend auf das 
Dif f erenzsignal ein Arbeitstakt fur das Rechenwerk 12 er- 
zeugt . 

Der zweite Temperatursensor 70 dient zur Ermittlung einer Re- 
30 ferenztemperatur. Der zweite Temperatursensor 70 kann bei- 

spielsweise an einem von dem ersten Temperatursensor entfern- 
ten Ort an der thermischen Kapazitat 54 angebracht sein. Das 
von dem Komparator 72 aus den Temperatursignalen der beiden 
Temperatursensoren erzeugte Dif f erenzsignal stellt dann einen 
35 mittleren Temperaturgradienten zwischen den beiden Orten der 
beiden Temperatursensoren dar. Vorzugsweise ist die thermi- 
sche Kapazitat 54 mit dem Rechenwerk 12 identisch, und sind 
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der erste Temperatursensor und der zweite Temperatursensor 70 
an zwei Orten im Rechenwerk 12 angebracht, die sich beim Aus- 
fiihren einer Operation durch das Rechenwerk 12 unterschied- 
lich stark bzw. unterschiedlich schnell erwarmen, beispiels- 
5 weise da sie von einem Ort, an dem Verlustwarme entsteht, un- 
terschiedlich weit entfernt sind. 

Beim Ausfuhren einer Operation durch das Rechenwerk 12 ent- 
steht durch die dabei anfallende Verlustwarme, die langsam 

10 zur Oberflache des Rechenwerkes 12 geleitet und dort an die 
Umgebung abgegeben wird, eine Temperaturdif f erenz zwischen 
den Temperaturen an den Orten der beiden Temperatursensoren . 
Es resultiert eine Differenz zwischen den Ausgangssignalen 
der beiden Temperatursensoren. Der Komparator 72 erzeugt ein 

15 nicht verschwindendes Dif f erenzsignal . Dieses Dif f erenzsignal 
bewirkt in der Takter zeugungseinrichtung 32 eine Verringerung 
der Frequenz des Arbeitstaktes , der fur das Rechenwerk 12 er- 
zeugt wird. Die Verringerung der Frequenz des Arbeitstaktes 
fur das Rechenwerk 12 hat direkt und unmittelbar eine Verrin- 

20 gerung der Geschwindigkeit des Rechenwerkes zur Folge. Nach 
dem Ausfuhren einer Operation durch das Rechenwerk 12 kehrt 
die thermische Kapazitat 54 allmahlich wieder in einen Zu- 
stand eines thermischen Gleichgewichtes zuruck. Damit ver- 
schwinden die Differenz der Temperaturen der Temperatursenso- 

^5 ren und die Differenz der Ausgangssignale der Temperatursen- 
soren. In der Folge geht das vom Komparator 72 erzeugte Dif- 
ferenzsignal auf Null zuruck, das in der Takterzeugungsein- 
richtung 32 eine Steuerung der Frequenz des Arbeitstaktes be- 
wirkt. Die Takterzeugungseinrichtung 32 ist so aufgebaut, dali 

30 ein verringertes Dif f erenzsignal eine erhohte Frequenz be- 
wirkt. Somit steigt die Geschwindigkeit des Rechenwerkes 12 
nach einem Ausfuhren einer Operation durch das Rechenwerk 12 
und der resultierenden Verringerung der Geschwindigkeit wie- 
der allmahlich wieder an. 

35 

Die Verwendung von zwei Temperatursensoren verhindert einen 
Angriff durch KUhlung des Prozessors Oder des Rechenwerkes 12 
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weitgehend, da eine punktuelle Abkiihlung physikalisch auflerst 
diffizil 1st. 

Statt des im letzten Ausf uhrungsbeispiel verwendeten Kompara- 
5 tors kann auch eine Bruckenschaltung verwendet werden. 

Die in den Ausf uhrungsbeispielen dargestellte Aufteilung der 
Funktionseinrichtungen des erf indungsgemafien Prozessors ist 
nicht zwingend, sondern kann variiert werden. Beispielsweise 
10 kann die Takter zeugungseinrichtung einstuckig mit dem Rechen- 
werk ausgefuhrt sein oder in Form eines von diesen getrennten 
Bauelementes ausgefuhrt sein. Ferner kann, wie oben bereits 
9 erwahnt wurde, die Zustandseinrichtung, der Energiespeicher , 

die elektrische Kapazitat oder die thermische Kapazitat in 
15 einem von dem Rechenwerk getrennten Bauteil realisiert sein, 
mit dem Rechenwerk einstuckig ausgefuhrt sein oder sogar mit 
diesem noch weitergehend integriert sein. In vielen Fallen 
werden alle Elemente des erf indungsgemafien Prozessors, d. h. 
das Rechenwerk und alle hier der Zustandseinrichtung zuge- 
rechneten Komponenten so weit als moglich einstuckig ausge- 
fuhrt sein. Dies reduziert den Herstellungsaufwand und ver- 
bessert bei kryptographischen Anwendungen den Schutz vor ei- 
ner Manipulation. Trotzdem ist auch eine mehrstiickige Ausfiih- 
rung moglich und fur einige Anwendungen sinnvoll. 

Bei den oben beschriebenen Ausf uhrungsbeispielen wird zur Be- 
einflussung der Geschwindigkeit des Rechenwerkes die Frequenz 
des Arbeitstaktes des Rechenwerkes verandert. Daneben exi- 
stieren weitere Moglichkeiten, urn die Geschwindigkeit des Re- 
chenwerkes zu verandern. Beispielsweise ist -eine Veranderung 
der Anzahl der Bits, auf die jede einzelne Operation wirkt, 
denkbar, so dafi z. B. in jedem Arbeitstakt nur noch 8 statt 
16 Bit gleichzeitig verarbeitet werden. Eine weitere Moglich- 
keit besteht in der Einfuhrung von „Pausentakten" , urn die Ge- 
35 schwindigkeit zu verringern. 



20 



30 
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Die in den Ausf uhrungsbeispielen beschriebene Anderung des 
Arbeitstaktes auf analoge Weise wird bevorzugt, da sie am 
einfachsten realisierbar ist und gegenuber Manipulationen ei- 
ne hohe Sicherheit bietet. 

5 

In den Ausf uhrungsbeispielen oben wurde nicht naher auf die 
konkrete mathematische Form des Zusammenhangs zwischen dem 
Zustand der Zustandseinrichtung und der Geschwindigkeit des 
Rechenwerkes eingegangen. Bei diesem Zusammenhang kann es 

10 sich urn eine einfache Stuf enf unktion mit einem oder mehreren 
Stufen bzw. Schwellen handeln, d. h. daft bei liber- oder Un- 
terschreiten eines bestimmten Zustandes die Geschwindigkeit 
des Rechenwerkes stufenweise verandert wird. Beispielsweise 
wurde im ersten Ausf uhrungsbeispiel die Takterzeugungsein- 

15 richtung 32 eine erste hohe Geschwindigkeit des Rechenwerkes 
12 einstellen, wenn die in der elektrischen Kapazitat 30 ge- 
speicherte Ladungsmenge unter einer vorbestimmten Schwelle 
liegt und eine zweite niedrigere Geschwindigkeit des Rechen- 
werkes 12 einstellen, wenn die Ladungsmenge in der elektri- 

20 schen Kapazitat 30 uber der vorbestimmten Schwelle liegt. 

Dies hat zur Folge, dafi die Geschwindigkeit des Rechenwerkes 
12 ab dem Ausfuhren einer bestimmten Anzahl von Operationen 
von einer ursprunglichen hohen Geschwindigkeit auf eine vor- 
bestimmte niedrigere Geschwindigkeit verringert wird, und dafi 

^5 die Geschwindigkeit des Rechenwerkes nach einer von der Grofie 
der elektrischen Kapazitat 30, der Anzahl der ausgefiihrten 
Operationen bzw. der in der elektrischen Kapazitat 30 gespei- 
cherten Ladungsmenge und der Grofie der parallelen Widerstande 
bzw. der Grofie der Leckstrome abhangigen Zeit wieder stufen- 

30 formig auf die ursprungliche hohere Geschwindigkeit erhoht 
wird. 

Vorzugsweise ist die Zustandseinrichtung so ausgefuhrt, dafi 
der Zusammenhang zwischen der Anzahl der durch das Rechenwerk 
35 ausgefiihrten Operationen und der durch die Zustandseinrich- 
tung gesteuerten Geschwindigkeit des Rechenwerkes ein steti- 
ger Zusammenhang ist. 
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Vorzugsweise ist die Zustandseinrichtung ferner so ausge- 
fuhrt, dafi der Zusammenhang zwischen der Anzahl der durch das 
Rechenwerk ausgefuhrten Operationen und der durch die Zu- 
standseinrichtung gesteuerten Geschwindigkeit des Rechenwer- 
kes umgekehrt proportional oder noch besser umgekehrt expo- 
nentiell ist. Dies bedeutet beispielsweise bei dem ersten 
Ausfuhrungsbeispiel, daft die Takterzeugungseinrichtung 32 so 
aufgebaut ist, daft die Frequenz des von ihr erzeugten Ar- 
beitstaktes fur das Rechenwerk 12 umgekehrt proportional oder 
umgekehrt exponentiell von der in der elektrischen Kapazitat 
30 gespeicherten Ladungsmenge abhangt, und daft die Ladung der 
elektrischen Kapazitat 30 bei jedem Ausfuhren einer Operation 
durch das Rechenwerk urn einen vorbestimmten konstanten Wert 
erhoht wird. Das Rechenwerk 12 wird so wahrend des Ausfuhrens 
von Operationen kontinuierlich langsamer. Sobald keine Opera- 
tionen mehr ausgefuhrt werden, erhoht sich die Geschwindig- 
keit des Rechenwerkes 12 aufgrund einer Entladung der elek- 
trischen Kapazitat allmahlich und kontinuierlich wieder bis 
zur ursprunglichen Geschwindigkeit. 

Durch den erf indungsgemafien Prozessor kann es wirksam unter- 
bunden werden, dafi Angriffe, die eine Vielzahl von kryptogra- 
phischen Berechnungen bzw. geheimen Operationen benbtigen, in 
kurzer Zeit durchgefuhrt werden konnen. Durch programmierbare 
Parameter, z. B. multiplikative Faktoren fur das Verhaltnis 
zwischen Energie im Speicher und Berechnungsgeschwindigkeit 
Oder Menge der Energiezuf tihrung, kann bei der Entwicklung ei- 
ner Applikation bzw. Anwendung eine optimale -Sicherheits- 
funktion aktiviert werden: Applikationen mit langen Zeitab- 
standen zwischen den Berechnungen konnen einen groBen Faktor 
wahlen, Applikationen mit zeitlich dicht auf einander f olgenden 
Berechnungen konnen einen speziell abgestimmten Wert wahlen, 
so da/3 die legale Verwendung unmaftgeblich beeinfluftt wird, 
jedoch eine schnellere Nutzung fur einen Angriff nicht mog- 
lich ist. 
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In den Ausf uhrungsbeispielen wurde mehrfach auf eine Anwen- 
dung des erf indungsgemaften Prozessors bei kryptographischen 
Berechnungen bzw. Operationen Bezug genommen. Daruber hinaus 
ist die Erfindung jedoch auch bei anderen Anwendungen ein- 
5 setzbar. Als Beispiel sei ein Prozessor mit einer in der Re- 
gel geringen Auslastung genannt, der von Zeit zu Zeit eine 
hohe Anzahl von Operationen in kurzer Zeit ausfuhren soli. 
Fur diese Anwendung wird die Zustandseinrichtung 14 so ausge- 
fiihrt, daft die durch die Zustandseinrichtung 14 gesteuerte 
10 Geschwindigkeit des Rechenwerkes 12 urn so hoher ist, je mehr 
Operationen durch das Rechenwerk 12 -ausgefuhrt werden. Bei- 

fspielsweise wird eine Takterzeugungseinrichtung entsprechend 
der des ersten Ausf uhrungsbeispieles so ausgefuhrt, daft die 
v Frequenz des von ihr erzeugten Arbeitstaktes fur das Rechen- 
15 werk anwachst, wenn die in einer elektrischen Kapazitat, die 
der elektrischen Kapazitat 30 entspricht, gespeicherte La- 
dungsmenge, die bei jedem Ausfuhren einer Operation durch das 
Rechenwerk erhoht wird, anwachst. Dann folgt, daft das Rechen- 
werk eine oder wenige Operationen mit einer ersten niedrigen 
20 vorbestimmten Geschwindigkeit ausfuhrt, und daft die Geschwin- 
digkeit des Rechenwerkes beim Ausfuhren von Operationen kon- 
tinuierlich bis zu einer zweiten vorbestimmten maximalen Ge- 
schwindigkeit ansteigt. Ein solcher Prozessor kann bei der 
genannten Anwendung eine erhebliche Energieersparnis reali- 
^5 sieren, ohne daft ein Betriebssystem des Prozessors Energie- 
sparfunktionen enthalten mufi . Es kommen die allgemeinen oko- 
nomischen und okologischen Vorteile einer Energieersparnis 
zum Tragen, die beispielsweise bei einer Energieversorgung 
des Prozessors aus einer Batterie oder einem Akkumulator be- 
30 sonders schwer wiegen konnen. Daruber hinaus existieren wei- 
tere Vorteile, beispielsweise kann unter Umstanden eine Kiih- 
leinrichtung fur den Prozessor kleiner dimensioniert werden, 
wenn feststeht, daft eine hohe Geschwindigkeit des Rechenwer- 
kes und damit ein hoher Energieumsatz immer nur fur kurze 
35 Zeit erforderlich sind. 
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Patentanspruche 

1. Prozessor mit folgenden Merkmalen: 

einem Rechenwerk (12) zum Ausfuhren einer Operation mit einer 
Geschwindigkeit ; und 

einer Zustandseinrichtung (14), die einen Zustand aufweist, 
und die so aufgebaut ist, dafi der Zustand sich ansprechend 
auf das Ausfuhren einer Operation durch das Rechenwerk (12) 
andert, und dafi die Geschwindigkeit des Rechenwerkes (12) ab- 
hangig von dem Zustand der Zustandseinrichtung (14) steuerbar 
ist . 

2. Prozessor gemafi Anspruch 1, bei dem die Zustandseinrich- 
tung (14) kontinuierliche Zustande aufweist. 

3. Prozessor gemafi Anspruch 1 oder 2, bei dem die Zustand- 
seinrichtung (14) so aufgebaut ist, daft sich die Geschwindig- 
keit des Rechenwerkes (12) ansprechend auf ein Ausfuhren ei- 
ner Operation durch das Rechenwerk (12) verringert. 

4. Prozessor gemafi einem der Anspruche 1 bis 3, bei dem die 
Zustandseinrichtung (14) so aufgebaut ist, dafi der Zustand 
der Zustandseinrichtung (14) ferner eine Funktion der Zeit 
ist . 

5. Prozessor gemafi einem der Anspruche 1 bis 3, bei dem die 
Zustandseinrichtung (14) so aufgebaut ist, dafi sich der Zu- 
stand der Zustandseinrichtung (14), wenn das Rechenwerk (12) 
keine Operationen ausfuhrt, in eine Richtung andert, welche 
der Richtung der auf ein Ausfuhren einer Operation durch das 
Rechenwerk (12) ansprechenden Anderung entgegengeset zt ist. 

6. Prozessor gemafi einem der Anspruche 1 bis 5, bei dem der 
Zustand der Zustandseinrichtung (14) durch eine Variable 
darstellbar ist, und bei dem die Zustandseinrichtung so auf- 
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gebaut ist, dafi die Variable bei jedem Ausfuhren einer Opera- 
tion durch das Rechenwerk (12) urn einen vorbestimmten Wert 
erhoht wird, und daft die Geschwindigkeit des Rechenwerkes 
(12) umgekehrt proportional zu dieser Variable ist. 

5 

7. Prozessor gemafi einem der Anspruche 1 bis 5, bei dem der 
Zustand der Zustandseinrichtung (14) durch eine Variable 
darstellbar ist, und bei dem die Zustandseinrichtung so auf- 
gebaut ist, dafi die Variable bei jedem Ausfuhren einer Opera- 

10 tion durch das Rechenwerk (12) urn einen vorbestimmten Wert 
erhoht wird, und daft die Geschwindigkeit des Rechenwerkes 
(12) umgekehrt exponentiell von der Variable abhangt . 

8. Prozessor gemaft einem der Anspruche 1 bis 7, bei dem die 
15 Zustandseinrichtung einen Kondensator (30) umfaftt und der Zu- 
stand ein Ladezustand des Kondensators (30) ist. 

9. Prozessor gemafi einem der Anspruche 1 bis 7, bei dem die 
Zustandseinrichtung eine Einrichtung (50) mit einer Warmeka- 

20 pazitat umfaftt und der Zustand eine Temperatur der Einrich- 
tung (50) ist. 

10. Prozessor gemaft Anspruch 9, bei dem die Einrichtung (50) 
mit einer Warmekapazitat ferner eine zweite Temperatur auf- 

^25 weist, wobei die Geschwindigkeit des Rechenwerkes (12) ferner 
abhangig von der zweiten Temperatur steuerbar ist. 

11. Prozessor gemaft einem der Anspruche 1 bis 10, bei dem ei- 
ne Frequenz eines Arbeitstaktes des Rechenwerkes (12) abhan- 

30 gig von dem Zustand der Zustandseinrichtung- (14) steuerbar 
ist . 

12. Prozessor gemaii einem der Anspruche 1 bis 10, bei dem 
eine Anzahl von Bits, auf die eine Operation im Rechenwerk 

35 (12) wirkt, abhangig von dem Zustand der Zustandseinrichtung 
(14) steuerbar ist. 
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13 . Prozessor gemafl einem der Anspruche 1 bis 12, bei dem die 
Operation eine kryptographische Operation zur Verschlusselung 
Oder Entschlusselung von Inf ormationen ist. 

14. Verfahren zum Ausfuhren einer Operation in einem Prozes- 
sor (10) mit einer einstellbaren Geschwindigkeit , mit folgen- 
den Schritten: 

Andern eines Zustandes einer Zustandseinrichtung (14) bei je- 
dem Ausfuhren einer Operation; und 

Einstellen der Geschwindigkeit ansprechend auf den Zustand 
der Zustandseinrichtung (14) . 
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Zusammenf as sung 

Vorrichtung und Verfahren zum Ausflihren von Operationen mit 
einer einstellbaren Geschwindigkeit 

Ein Prozessor umfaflt ein Rechenwerk (12) zum Ausflihren von 
einer Operation mit einer Geschwindigkeit und eine Zustand- 
seinrichtung (14), die einen Zustand aufweist, der sich an- 
sprechend auf das Ausflihren einer Operation durch das Rechen- 
werk (12) andert, wobei die Geschwindigkeit des Rechenwerkes 
(12) abhangig von dem Zustand der Zustandseinrichtung (14) 
steuerbar ist. Die Zustandseinrichtung (12) kann beispiels- 
weise ein Kondensator oder eine Einrichtung mit einer thermi- 
schen Kapazitat sein, die Steuerung der Geschwindigkeit des 
Rechenwerkes kann beispielsweise iiber die Frequenz eines Ar- 
beitstaktes erfolgen. Bei kryptographischen Anwendungen ist 
die Zustandseinrichtung vorzugsweise so aufgebaut, daft sich 
die Geschwindigkeit beim Ausflihren einer Operation verrin- 
gert . 



Figur zur Zusammenf assung : 
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Vorrichtung und Verfahren zum Ausfuhren von Operationen mit 
einer einstellbaren Geschwindigkeit 



Bezugszeichenliste 

10 Prozessor 

12 Rechenwerk 

14 Zustandseinrichtung 

16 Eingang 

18 Ausgang 

20 Verbindungseinrichtung 
22 Verbindungseinrichtung 

30 Einrichtung mit einer elektrischen Kapazitat 
32 Takterzeugungseinrichtung 
34 Einrichtung zum Laden 
36 Einrichtung zum Steuern 
38 Einrichtung zum Takten 

50 Einrichtung mit einer thermischen Kapazitat 

54 Einrichtung zum Heizen 

56 Einrichtung zum Steuern 

58 Einrichtung zum Takten 

70 Tempera tur sensor 

72 Komparator 

74 Einrichtung zum Leiten des ersten Temperatursignales 
76 Einrichtung zum Leiten des zweiten Temperatursignales 
78 Einrichtung zum Leiten des Dif f erenzsignales 
80 Einrichtung zum Takten 



